Генерация ключевой пары ECDSA

Пример:

pkcs11-tool --module /путь/к/библиотеке/rtPKCS11ECP --login --pin 12345678 --keypairgen --key-type EC:secp256r1 --id 3132 --usage-derive

Значения параметров:

Параметр Возможные значения

‑‑module

Для Windows:

/путь/к/файлу/rtpkcs11ecp.dll

Для Linux:

/путь/к/файлу/librtpkcs11ecp.so

‑‑key-type

Для Рутокен ЭЦП 3.0 3110 и 3220:

EC:secp256r1;
EC:secp256k1.

Для Рутокен ЭЦП 3.0 3120:

EC:secp256r1;
EC:secp256k1;
EC:secp384r1;
EC:secp521r1.

Генерация ключевой пары RSA

Пример:

pkcs11-tool --module /путь/к/библиотеке/rtPKCS11ECP --login --pin 12345678 --keypairgen --key-type RSA:2048 --id 3132

Значения параметров:

Параметр Возможные значения

‑‑module

Для Windows:

/путь/к/файлу/rtpkcs11ecp.dll

Для Linux:

/путь/к/librtpkcs11ecp.so

‑‑key‑type

Warning
Использовать 1024-битные ключи RSA небезоспано. Рекомендуем использовать как минимум 2048-битные ключи.

Для Рутокен ЭЦП 2.0:

RSA:1024;
RSA:2048.

Для Рутокен ЭЦП 3.0:

RSA:1024;
RSA:2048;
RSA:4096.

...

Параметр	Описание
‑key	Название файла или URI закрытого ключа. Если параметр не задан, будет использован файл сертификата
‑keyform	Формат файла закрытого ключа. Значение по умолчанию: PEM
‑engine	Модуль для работы с криптографическими алгоритмами. Задается, если задан параметр `-keyform engine`
‑cert	Путь к сертификату
‑Verify	Глубина проверки цепочки сертификатов
‑CAfile	Путь к доверенному сертификату
‑accept	TCP-порт, который будет прослушиваться в ожидании запросов. Значение по умолчанию: 4433
‑WWW	Эмуляция простого веб-сервера
‑purpose	Назначение сертификата. Возможные значения: `slclient`; `sslserver`; `nssslserver`; `mimesign;` `mimeencrypt`; `crlsign`; `ocsphelper`; `timestampsign`; `codesign`; `any.`
‑4	Использовать только IPv4

Примеры команд:

Ключ в файле
openssl s_server -key demoCA/private/cakey.pem -cert demoCA/cacert.pem -Verify 7 -CAfile demoCA/cacert.pem -accept 44330 -WWW -purpose any -4

Ключ на токене
openssl s_server -key "pkcs11:server_key_pkcs11_uri" -keyform engine -engine rtengine -cert demoCA/cacert.pem -Verify 7 -CAfile demoCA/cacert.pem -accept 44330 -WWW -purpose any -4

Запуск SSL/TLS клиента

Формат команды:

...

Параметр	Описание
‑key	Название файла или URI закрытого ключа. Если параметр не задан, будет использован файл сертификата
‑keyform	Формат файла закрытого ключа. Значение по умолчанию: PEM
‑engine	Модуль для работы с криптографическими алгоритмами. Задается, если задан параметр `-keyform engine`
‑cert	Путь к сертификату
‑host	Адрес сервера, с которым нужно установить соединение
‑port	Порт сервера, с которым нужно установить соединение

Примеры команд:

Ключ в файле
`openssl`

s_client

-key

privatekey.pem

-cert

cert.cer

-host

127.0.0.1

-port

44330

Ключ на токене
`openssl`

s_client

-key

"pkcs11:client_key_pkcs11_uri"

-keyform

engine

-engine

rtengine

-cert

cert.cer

-host

127.0.0.1

-port

44330

Приложение 1. Парамсеты ГОСТ в OpenSSL и pkcs11-tool
Anchor
gost
gost

...

Page tree

Versions Compared

Old Version 42

New Version 43

Key

Генерация ключевой пары ECDSA

Генерация ключевой пары RSA

Запуск SSL/TLS клиента

Приложение 1. Парамсеты ГОСТ в OpenSSL и pkcs11-tool
Anchor
gost
gost

Page tree

Pages … Портал документации Рутокен Рутокен и OpenSSL Интеграция Рутокен ЭЦП и OpenSSL 1.1.0 или новее через rtengine Сценарии использования Page History

Versions Compared

Old Version 42

New Version 43

Key

Генерация ключевой пары ECDSA

Генерация ключевой пары RSA

Запуск SSL/TLS клиента

Приложение 1. Парамсеты ГОСТ в OpenSSL и pkcs11-tool Anchorgostgost

Pages

Портал документации Рутокен
Рутокен и OpenSSL
Интеграция Рутокен ЭЦП и OpenSSL 1.1.0 или новее через rtengine
Сценарии использования

Page History

Приложение 1. Парамсеты ГОСТ в OpenSSL и pkcs11-tool
Anchor
gost
gost